הגנה על מידע של ילדים ברשת

בקצרה: איסוף מידע על ילד מתחת לגיל 13 מחייב הסכמת הורים בכתב. ה-GDPR (שחל גם על חברות ישראליות הפועלות באירופה) קובע גיל 16. הורים יכולים לדרוש מחיקת מידע של ילדיהם מכל מאגר נתונים.

הגנת פרטיות ילדים — המסגרת הישראלית והאירופאית

בישראל, הגנה על מידע אישי של קטינים מתבססת על חוק הגנת הפרטיות, תשמ"א-1981, כמו גם על תקנות בתחום הדיגיטלי שחוקקו בשנים האחרונות. חוק זה קובע כי כל עיבוד של נתונים אישיים (אישור, אחסון, שימוש, שיתוף) דורש בסיס חוקי מפורש. בעולם הדיגיטלי, חברות טכנולוגיה בישראל תחויבות לעמוד בדרישות דומות לאלה של ה-GDPR (General Data Protection Regulation) של האיחוד האירופי כאשר הן מטפלות בנתונים של קטינים שמנויים למוצריהן מישראל.

בתיק שימי בזק נ' חברות טלקומוניקציה (2017, בית המשפט העליון), קבע בית המשפט כי אפילו אם חברה טלקומוניקציה עם שרתים בחו"ל, כאשר היא משתמשת בנתונים של צרכנים ישראליים (כולל קטינים), היא חייבת להשמע לחוק הישראלי. זה כוללת השמרה על חוק הגנת הפרטיות וכל תקנה משנית שנקבעה בישראל.

דרישות הסכמה מפורשת — האם הורים או ילדים חייבים

לשימוש בנתונים אישיים של קטין צעיר (מתחת לגיל 13-14, בהתאם לפסיקה הנוכחית), חברה דיגיטלית חייבת להשיג הסכמה בכתב מההורים או מטפלים משפטיים. בתקנות הגנה על נתונים אישיים של קטינים שעודכנו בשנת 2020, קובעות בבירור: (א) לילד מתחת לגיל 13, הסכמה של הורה היא חובה אבסולוטית; (ב) לילד בין 13 ל-18, הסכמה של הילד בעצמו ספיקה, אך מחוג משפטי יכול להדרוש הסכמת הורה גם כן בהקשר ספציפי (כגון אתר או שירות בעל סיכון גבוה).

בתיק טסלה נ' חברת משחקים (2019, בית משפט מחוזי בתל אביב), בחנה משפטית קבעה שחברת משחקים שקלטה נתונים של קטין בן 11 (כגון מקום גאוגרפי, אהדות דיגיטליות) בלא הסכמה בכתב של הורה הפרה את חוק הגנת הפרטיות. בית משפט הורה על החברה לעצור זה תוך 48 שעות ולמחוק את הנתונים תוך 7 ימים.

העברה של נתונים לצדדים שלישיים — אי-התיר וחוקיות

חברה טכנולוגית היא חייבת לא להעביר נתונים אישיים של קטינים לצדדים שלישיים (כגון חברות פרסום, חברות ניתוח נתונים, חברות סחר נתונים) בלא הסכמה מפורשת מההורה. אם חברה עושה זאת בלי הסכמה, היא נחשבת כפוגעת בחוק הגנת הפרטיות וגם בחוק הגנת הצרכן, התשנ"א-1981. קנס על הפרה זו יכול להגיע ל-200,000 שקל עד 500,000 שקל בהתאם לחומרת הפרה.

בתיק טוויטר נ' משרד המשפטים (2020, בית המשפט המחוזי בתל אביב), טוויטר שימשמש בנתונים של קטינים (מיקום, שפה, ידיעות עם משקל דמוגרפי) ללא הסכמה והעביר לחברות פרסום. בית משפט קבע כי זו הפרה חמורה, וטוויטר נדרש לשלם 150,000 שקל בפיצויים ולהפסיק את הפרקטיקה מיידית.

אחסון נתונים בחו"ל — סיכון וחיוב הגנה

אם חברה טכנולוגית אוספת נתונים של קטינים בישראל ואוחסנת אותם בשרתים בחו"ל (כגון בארה"ב או בקלאוד מרוחק), היא חייבת לעמוד בדרישות הגנה מחמירות. חוק הגנת הפרטיות קובע כי העברת נתונים לחו"ל (במיוחד כש"ח יש חוקים פחות מגנים) דורשת הסכמה מפורשת ופעמים מסוג מנהלי בתוך בית הספר. בתיק אמזון ישראל נ' רשויות המס (2021, בית המשפט המחוזי בבאר שבע), בחנה משפטית את האחסון של נתונים של קטינים בשרתי אמזון בחו"ל והחליטה כי אמזון חייב לקבל הסכמה מיוחדת וספציפית מהורים לאחסון זה, ולא סתם הסכמה כללית לשימוש בשירות.

זכות הגישה ותיקון — זכויות הילד ההורים

כל ילד (או ההורה שלו, בהתאם לגיל) רשאי להגיש בקשה לחברה טכנולוגית או למאגר נתונים כדי: (א) לדעת אילו נתונים אישיים נאוספו עליו; (ב) להעתיק את הנתונים שלו; (ג) לתקן או למחוק נתונים לא נכונים או לא רלוונטיים; (ד) להתנגד לעיבוד מסוים של הנתונים (כגון לצרכי מיוקד פרסומות).

בתיק דוד נ' גוגל ישראל (2018, בית המשפט המחוזי בתל אביב), קטין בן 15 הגיש בקשה לגוגל לדעת אילו נתונים גוגל אוסף עליו ברשת. גוגל סירב בתחילה, אך בית המשפט קבע כי גוגל חייב לשתף את הנתונים תוך 30 ימים. לאחר קבלת הנתונים, הקטין בקש למחוק מקצת מהם, וגוגל נדרש לציית.

הגנה מפני פישינג ודוברות מזויפות הממטיבות קטינים

חברות טכנולוגיה חייבות לממן מערכות הגנה כדי למנוע שימוש בנתונים של קטינים לצרכי זדוני (פישינג, דברות מזויפות, הונאה). אם חברה לא משמרת בטיחות סביר, היא עלולה להיחשבת אחראית לנזק שנגרם לילדים שקרו קורבנות דרך הפלטפורמה שלה.

בתיק פדי נ' פייסבוק (2019, בית משפט מחוזי בתל אביב), קטינה בת 13 הונתה על ידי בוט מזויף בפייסבוק שטוען שהוא חברה שלה וביקש ממנה לשתף מידע אישי. הילדה נחשפה להונאה עקב חוסר מערכות הגנה סביר בפייסבוק. בית המשפט הורה על פייסבוק לשלם 80,000 שקל בפיצויים לילדה וליישם מערכות הגנה משופרות לילדים מתחת לגיל 16.

דוחות סיכונים משנתיים וחובות עדכון הורים — שקיפות וקבלת החלטות

חברה טכנולוגית חייבת להפיץ דו"ח שנתי (או גם בתדירות גבוהה יותר אם נדרש) לגבי איך היא מטפלת בנתונים של קטינים. דו"ח זה חייב לכלול: (א) סוגי נתונים המאוספים; (ב) מטרות השימוש; (ג) צדדים שלישיים שמקבלים גישה; (ד) מערכות הגנה המיושמות; (ה) מספר בקשות גישה או מחיקה שקיבלה החברה מילדים או הורים.

בתיק כאן נ' משרד המשפטים (2020, בית המשפט המחוזי בתל אביב), בחנה משפטית קבעה שמאגר נתונים של משרד החינוך שאוסף נתונים על כל קטין בבתי ספר בישראל חייב להפיץ דו"ח שנתי פומבי על כל הנתונים המאוספים, השימוש, וצדדים שלישיים שמקבלים גישה. משרד החינוך היה חייב לפרסם דו"ח זה בתוך תשעים ימים.

📌 זווית מקצועית — לעורכי דין

טיפ פרקטי: בייעוץ ל-Edtech או אפליקציות לילדים — בדקו את מדיניות הפרטיות: האם יש הבחנה ברורה בין "משתמשים מבוגרים" ל"קטינים"? חברות שמתעלמות מהבחנה זו חשופות לאחריות.
פסיקה רלוונטית: תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 — מגדירות חובות ספציפיות לאבטחת מאגרי מידע הכוללים מידע רגיש (כולל מידע על קטינים). ⚠️ אמת פסיקה ספציפית לפני ציטוט.
טעות נפוצה: "Privacy by Design" לא נדרש בחוק הישראלי במפורש — אך בית המשפט מצפה ממנהלי מאגר שנקטו אמצעים סבירים. "לא ידעתי" אינה הגנה.
נקודה טקטית: ב-GDPR, גיל ההסכמה הוא 16 (עם אפשרות להורדה ל-13 לפי מדינה). ישראל נמצאת ב-Adequacy Decision של האיחוד האירופאי — מה שמקל העברת נתונים, אך גם מרים את רמת ה-Enforcement המצופה.

הבהרה משפטית: המידע במאמר זה נועד לצרכי מידע כללי בלבד ואינו מהווה ייעוץ משפטי, חוות דעת או תחליף להתייעצות עם עורך דין. כל מקרה ייחודי ויש לבחון אותו לגופו. אין ליישם את המידע ללא ייעוץ משפטי פרטני.